Sí claro, pero por consistencia todo lo deberías manejar con bindParam(), es bueno separar responsabilidades.

La idea es que la consulta sea sólo eso y no más, eso facilitará su lectura y modificación, de otra forma habría que estar lidiando siempre con la concatenación, etc.

Que no se trate de una variable sensible no evita que metas código mal.